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Reference du dossier du deposant ou 
du mandataire 

BIF114002/JBA 


POUR SUITE voir la notification de transmission du rapport de recherche internationale 
(formulaire PCT/IS A/220) et, le cas echeant, le point 5 ci-apres 

ADONNER 


Demande internationale n° 

PCT/FR 00/01979 


Date du depot \ntemat\ona\(jour/mois/annee) 

07/07/2000 


(Date de priorrte (la plus ancienne) 
(jour/mois/annee) 

09/07/1999 


Deposant 

OBERTHUR CARD SYSTEMS SAS 



Le present rapport de recherche internationale, etabli par ('administration chargee de la recherche internationale, est transmis au 
deposant conformement a rarticle 18. Une copie en est transmise au Bureau international. 

Ce rapport de recherche internationale comprend 3 feuilles. 

PH " ^ aussi accompagne d'une copie de chaque document relatif a I'etat de la technique qui y est cite. 



1 . Base du rapport 

a. En ce qui concerne ia langue, la recherche internationale a ete effectuee sur la base de ta demande internationale dans la 
langue dans laquelle elle a ete deposee, sauf indication contraire donnee sous le meme point. 

| | la recherche internationale a ete effectuee sur la base d'une traduction de la demande internationale remise a I'administration. 

b. En ce qui concerne les sequences de nucleotides ou d'acldes amines divulguees dans la demande internationale (le cas echeant) 
la recherche internationale a ete effectuee sur la base du listage des sequences : 

| | contenu dans la demande internationale, sous forme ecrite. 

deposee avec la demande internationale, sous forme dechiffrable par ordinateur. 
remis ulterieurement a I'administration, sous forme ecrite. 
remis ulterieurement a I'administration, sous forme dechiffrable par ordinateur. 

La declaration, selon laquelle le listage des sequences presente par ecrit et fourni ulterieurement ne vas pas au-dela de la 
divulgation faite dans la demande telle que deposee, a ete fournie. 

La declaration, selon laquelle les informations enregistrees sous forme dechiffrable par ordinateur sont identiques a celles 
du listage des sequences presente par ecrit, a ete fournie. 

II a 6t6 est I m 6 que certalnes revendlcatlons ne pouvalent pas falre rob jet d'une recherche (voir le cadre I). 
II y a absence d'unitg de I'lnventlon (voir le cadre II). 



2. 
3. 



□ 
□ 
□ 
□ 

□ 



□ 
□ 



4. En ce qui concerne le tltre, 

| | le texte est approuve tel qu'il a ete remis par le deposant. 
[Xj Le texte a etd etabli par ('administration et a la teneur suivante: 

PR0CEDE DE CALCUL POUR LA CRYPTOGRAPHIE A C0URBE ELLIPTIQUE 



En ce qui concerne l'abr£ge\ 

py] le texte est approuve tel qu'il a ete remis par le deposant 

□ le texte (reproduit dans le cadre III) a ete etabli par ('administration conformement a la regie 38.2b). Le deposant peut 
presenter des observations a I'administration dans un delai d'un mois a compter de la date d'expedition du present rapport 



de recherche internationale. 
La figure des desslns a publier avec t'abrege est la Figure rV 



I I suggeree par le deposant. |T| Aucune des figures 

| | parce que le deposant n'a pas suggere de figure. n est * P ubher 

| | parce que cette figure caracterise mieux r invention. 
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— Avec rapport de recherche internationale. 

En ce qui conceme les codes a deux lettres et autres abrevia- 
tions t se referer aux "Notes explicatives relatives aux codes et 
abbreviations" figurant au debut de chaque numero ordinaire de 
la Gazette du PCT. 



(54) Title: COMPUTING METHOD FOR ELLIPTIC CURVE CRYPTOGRAPHY 

(54) Titre: PROCEDE DE CALCUL POUR LA CRYPTOGRAPHIE A COURBE ELLIPTIQUE 

(57) Abstract: The invention concerns fast cryptographic method between two entities exchanging data via a non-secure commu- 
ni cation channel. The method, for example for forming a common key between two entities (A, B) each having a secret key (a, b) 
^ and using a public key (P) formed by a point of an elliptic curve (E), comprises at least a step which consists in multiplying said odd 
t*** order point (P) by an integer and said phase comprises operations called additions and halving , the latter operation characterising 
the invention. 



^ (57) Abrege: Proceed de cryptographic rapide entre deux entite*s echangeant des informations a travers un canal de communication 
non se'curise'. Le proce'de', par exemple pour la constitution d'une clef commune entre deux entite's (A, B) posse<lant chacune une 

Q clef secrete (a, b) et faisant toutes deux appel a une clef publique (P) constitute par un point d'une courbe elliptique (E), comprend 
au moins une phase consistant a multiplier ledit point (P) d'ordre impair par un entier et cene phase comprend des operations dites 

^ "additions" et "divisions par deux", cette derniere operation e'tant caracte'ristique de V invention. 
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PROCEDE DE CALCUL POUR LA CRYPTOGRAPH IE A COURBE ELLIPT1QUE 



L'invention se rapporte a un procede de cryptographie mis en oeuvre entre 
deux entites echangeant des informations a travers un canal de communication 
non securise, par exemple un reseau cable ou hertzien et permettant d'assurer 
la confidentiality et I'integrite des transferts d'informations entre ces deux entites. 
5 L'invention concerne plus particulierement un perfectionnement aux 
cryptosystemes mettant en ceuvre des calculs sur une courbe elliptique. Le 
perfectionnement permet principalement de reduire les temps de calcul. 

On connait un protocole de cryptographie, plus particulierement utilise 
pour realiser un echange de clefs securise entre deux entites. II est connu sous 
10 ('appellation "Echange de Clefs de Diffie-Hellmann" ou "ECDH". Sa mise en 
oeuvre necessite I'utilisation d"un groupe au sens mathematique du terme. Une 
courbe elliptique du type : 

y 2 +xy = x 3 + ax 2 +p 
peut constituer un groupe utilisable dans un tel procede ; 
15 On sait que si P= (x ( y) appartient a la courbe elliptique E, on peut definir 

un "produit" ou "multiplication scalaire " du point P de E par un entier m. Cette 
operation est definie comme suit : 

[m] P = P + P + P ....+ P (m fois) 
On sait que dans un algorithme du type "ECDH", on utilise la multiplication 
20 par 2 d'un point P choisi d'une telle courbe elliptique. Cette operation s'appelle 
"doublement de point" et s'inscrit dans un processus iteratif de doublement-et- 
addition. Une telle multiplication par 2 requiert du temps. 

La partie la plus lente du protocole d'Echange de Cles de Diffie-Hellman 
(ECDH) est la multiplication d'un point de la courbe non connu a Pavance par un 
25 scalaire aleatoire. On ne considere ici que les courbes elliptiques d6finies sur un 
corps de caract§ristique 2 ; c'est un choix repandu pour les implementations, car 
Taddition dans un tel corps correspond a Toperation n, ou exclusif 1 . 

II est connu que la multiplication par un scalaire peut etre acc6leree pour 
les courbes definies sur un corps de faible cardinality en utilisant le morphisme 
30 de Frobenius. On peut choisir les courbes de sorte qu'aucune des attaques 
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connues ne s'applique a elles. Cependant, il est evidemment preferable, au 
moins sur le plan du principe, de pouvoir choisir la courbe que Ton veut utiliser 
dans une classe de courbes aussi generate que possible. La methode decrite 
dans Tinvention s'applique, dans sa version la plus rapide, a la moitie des 
5 courbes elliptiques. De plus, d'un point de vue cryptographique, cette moitie est 
la meilleure. Avant de donner le principe de la methode, on rappelle les concepts 
de base. 

Pour illustrer simplement, prenons la courbe elliptique (E) representable 
geometriquement definie sur I'ensemble R des nombres reels par Pequation y 2 + 
10 y = x 3 - x 2 , representee sur la figure 1 ou une ligne horizontale represente un 
nombre entier m, une ligne verticale represente un nombre entier n et chaque 
intersection de telles lignes horizontale et verticale represente la paire de 
coordonnees entieres (m, n). 

(E) passe par un nombre fini de points a coordonnees entieres, et toute 
15 secante a (E) issue d'un tel point recoupe (E) en 2 points, eventuellement 
confondus (cas des tangentes a la courbe). 

L'operation d'addition entre deux quelconques de ces points A et B est 
definie de la maniere suivante : soit Bi le point ou la droite (AB) recoupe (E) ; la 
verticale de Bi recoupe (E) en C = A + B. 
20 Dans le cas particulier ou (AB') est tangente a (E), C est la somme 

cherchee. 

Le point O, "intersection de toutes les verticales", est appele point a I'infini 
de (E) et est I'element neutre de Taddition ainsi definie, puisqu'en appliquant la 
construction geometrique de definition de I'addition, on a bien : A+O = O+A = A. 
25 Le doublement de A, note [2]A et defini comme : A + A, est done le 

point B\ la droite (Ax) etant tangente en A a (E). 

En appliquant au point B* la construction d'addition de A, on obtiendrait le 
point [3]A, et ainsi de suite : e'est la definition du produit [n]A d'un point par un 
entier. 

30 La presente invention concerne en fait une famille de courbes elliptiques, 

non representables geometriquement mais definies comme suit : 
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Soit n un entier donne, F 2 „ le corps de 2 n elements, et E^sa cloture 
algebrique. Soit O le point a Tinfini. On appelle courbe elliptique E non 
supersinguliere definie sur F I'ensemble : 

E = {(x,y)e F^X E^V + xy = x 3 + ax 2 +p} ^ {O} a, p e F 2 \ p* 0 

5 Les elements de E sont habituellement appeles "points". II est bien connu 

que E peut etre dote d'une structure de groupe abelien en prenant le point a 
I'infini comme element neutre. Dans ce qui suit, on considere le sous-groupe fini 
des points rationnels de E, defini par : 

E( F 2K ) = {(x,y)e F 2 . X F 2tt |y* + xy = x 3 + ax 2 + p} ^ {O} a, p e F 2 ", P^ 0 

10 N etant Tensemble des entiers naturels, pour tout m £ N, on definit dans E 
Tapplication "multiplication par m" par : 
[m] : E ->E 

P ->P + + P (m fois) et VP <=E :[o]P=0 

On note E[m] le noyau de cette application. Les points du groupe E[m] 
15 sont appeles les points de m-torsion de E. La structure de groupe des points de 
m-torsion est bien connue. 

En se limitant au cas ou m est une puissance de 2, on a : 

VkeN:E[2 k ] = Z/2 k Z 
ou Z est Tensemble des entiers relatifs. 
20 Comme E(F 20 ) est un sous-groupe fini de E, il existe k* >1 tel que E [2 k ] 

est contenu dans E(F 2 „ ) si et seulement si k < k\ Si on se limite aux courbes 
elliptiques E pour lesquelles k'=1 f la structure de E(F 2D ) est : 

E(F 20 ) = Gx{O, T 2 } 

ou G est un groupe d'ordre impair et T 2 designe le point unique d'ordre 2 de E. 
25 On dit qu'une telle courbe a une 2- torsion minimale. 

On est maintenant en mesure d'expliquer le but de Tinvention. La 
multiplication par deux, n'est pas injective lorsqu'elle est definie sur E ou E(F 2 „ ), 
car elle a pour noyau : E[2] ={ O, T 2 }. 
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Par ailleurs, si on reduit le domaine de definition de la multiplication par 2 
a un sous-groupe d'ordre impair G c E(E, M ), la multiplication par 2 devient 
bijective. 

II en resulte que la multiplication par 2 admet sur ce sous-groupe une 
application inverse que nous appellerons division par 2 : 

[1/2]: G-»G 

P-> Q tel que : [2] Q = P 

On note [1/2] P le point de G auquel ('application de doublement fait 
correspondre le point P. 
Pour tout k> 1 , on ecrit : 



" 1 " 




V 




V 




"1" 


|_2 k J 




_2_ 


O 


.2. 


o o 


_2_ 



Pour representer k compositions de I'application de division par 2 avec 
elle-rneme. 

De fagon generale ('invention concerne done un procede de cryptographie 
mis en oeuvre entre deux entites echangeant des informations a travers un canal 
de communication non securise, du type comprenant au moins une phase 
operatoire consistant a multiplier un point d'ordre impair d'une courbe elliptique 
non supersinguliere par un entier, caracterise en ce qu'une telle phase 
operatoire comprend des additions et des divisions par deux de points de ladite 
courbe elliptique; ou I'addition de points est une operation connue, et la division 
par deux d'un point P est definie comme le point unique D d'ordre impair te! que 



[2]D=P, un tel point etant note 



P , et Toperation de division par 2 



[.'application de division par 2 est interessante pour la multiplication 
scalaire d'un point d'une courbe elliptique pour la raison suivante : si Ton travaille 
en coordonnees affines, il est possible de remplacer toutes les multiplications de 
point par 2 d'une multiplication scalaire par des divisions de point par 2. 

La division par 2 d'un point est bien plus rapide a calculer que sa 
multiplication par 2. D ! un point de vue cryptographique, il est bon d'avoir a choisir 
parmi le plus grand nombre de courbes possible, et on a coutume d'utiliser une 
courbe pour laquelle la 2-torsion de E(F 2 „ ) est minimale ou isomorphique a Z/4Z. 
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Pour un corps F 2 „ donne, les courbes elliptiques de 2-torsion minimale 
constituent exactement la moitie de Tensembte des courbes elliptiques definies 
sur F 2 „ . C'est pourquoi, bien qu'elle ne soit pas totalement generale, la methode 

decrite s'applique, dans sa version la plus rapide, a une bonne partie des 
5 courbes interessantes en cryptographie. Elle est toujours applicable dans le cas 
ou les elements du corps sont representes dans une base normale. Dans le cas 
d'une base polynomiale, I 'espace memoire requis est de I'ordre de 0(n 2 ) bits. 

Certains exemples sont donnes ci-dessous, en reference aux dessins 
annexes dans lesquels : 
10 - la figure 1 est un graphe illustrant une courbe elliptique tres particuliere 

mais representable geometriquement, permettant de clarifier des operations 
elementaires mises en oeuvre dans le cadre de I'invention, ces operations etant 
explicitees ci-dessus ; 

- la figure 2 est un schema illustrant des echanges deformations 
15 conformes a I'invention, entre deux entites ; 

- les figures 3 a 6 sont des organigrammes explicitant certaines 
applications conformes a I'invention ; et 

- la figure 7 est un schema-bloc d'un autre systeme d'echange 
d'informations entre deux entites A et B, susceptible de mettre en oeuvre un 

20 processus de cryptographie conforme a Tinvention. 

On va montrer comment calculer [1/2] P e G a partir de P e G. Puis on 
montrera comment remplacer les doublements de points par des divisions par 2 
pour executer une multiplication par un scalaire. 

On utilisera la representation affine habituelle d*un point : P=(x,y) et la 
25 representation : (x, ^ p ) avec X p =x+y / x 

On tire de la deuxieme representation y = x (x + X p ) qui n'utilise qu'une 
multiplication. 

En procedant ainsi, pour multiplier un point par un scalaire, on economise 
les multiplications en calculant les resultats intermediaires a Taide de la 
30 representation (x, X p ) et on ne determine la coordonnee de la representation 
affine qu'en fin de calcul. 

La division par deux d'un point P s'obtient de la fa?on suivante : 
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Soit a caiculer [1/2] P a partir de P. On considere pour cela les deux points de 
E : 

P = (x,y) = (x, x (x + X p )) 

etQ = (u ) v) = (u,u(u+ X Q )) 
tels que : [2]Q= P 

Les formules de multiplication par 2 connues donnent 
Aq=u + v/u (1) 
x = X Q 2 + X q+ a (2) 
y = (x+u) A Q + x + v (3) 
Multipliant (1) par u et reportant la valeur de v ainsi obtenue dans (3), ce 
systeme devient : 

v = u (u +A q) 
^q 2 + ^q=oc + x 

y = (x + u) X q+x + u 2 + u X Q = u 2 +x (X Q + 1) 
ou, puisque y = x ( x + x p ) : 

Ao 2 +2a=a + x (i) 
u 2 = (x(A Q +1) + y = (A Q n p + x + 1) (ii) 
v = u (u + X Q ) (iii) 
En partant de P = (x,y) = (x t x (x + \ )) en coordonnees affines ou en 

representation (x, X p ), ce systeme d'equations determine les deux points : 

[1/2] PeG et [1[/2] P + T 2 € E(F 20 ) \ G 

qui donnent P par multiplication par 2. La propriete qui suit permet de la 
distinguer. 

Soit E une courbe elliptique a 2-torsion minimale, et 
P <= E(F 2 „ ) = G x {O, T 2 } Tun de ses elements d'ordre impair. 

Soit Q €{[1/2] P, [1/2] P+ T 2 } et Pun des deux points de E tels que [2]Qi= Q. 
On a la condition necessaire et suffisante : 

Q + [1/2]PoQi e E(F 2 .) (a) 
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On en deduit qu'il est possible de tester si Q = [1/2] P en appliquant les 
formules (i), (ii) et (iii) a Q et en verifiant si Tun de points obtenus appartient a 

E(F 2 „ ). 

Ce procede peut etre etendu a une courbe elliptique 
5 arbitraire E(F 2B ) = GxE [2 k ]. Pour cela on applique k fois les formules (i), (ii) et 

(iii) : la 1 ere fois a Q, pour obtenir Q 1t tel que [2] Q-i = Q; la ieme fois a Q m pour 
obtenir un point Q it tel que [2] Qj = Q M . Le point resultat Q k sera de la forme 

^ , P+T 2W1 si et seulement si Q = [1/2]P + T 2 et il sera de la forme 

1 1 , P+T: avec 0 < i <k si et seulement si Q = [1/21P. On a done la 

10 condition necessaire et suffisante : 

Q = [1/2]P«Q K <= E(F 2 J 
Ce procede est evidemment long si k est grand. 

La relation (a) montre que Ton peut savoir si Q = [1/2JP ou Q = [1/2]P + T 2 
en regardant si les coordonnees de Q-u appartiennent a F 2 „ ou a un sur-corps de 

15 F 2 „ . Comme Qi est determine par les equations (i), (ii) et (iii), nous avons a 
etudier les operations utilisees dans la resolution de ces equations qui ne sont 
pas internes au corps, mais ont leur resultat dans un sur-corps de F, n . Le seul 

cas possible est celui de la resolution de Tequation du 2 nd . degre (i) : on doit 
aussi calculer une racine carree pour calculer la 1® re coordonnee de Q 1f mais en 
20 caracteristique 2 la racine carree est une operation interne au corps. On a done : 

Q = (u, v) = [1/2] P<=> 3Ae F 2 „ :A 2 +A=a + u 

Cette condition necessaire et suffisante s'ecrit aussi, puisque la racine 
carree est interne au corps : 

Q = (u, v) = [1/2] P o 3As F 2 „ : X 2 + X = a 2 + u 2 

25 La relation precedente permet d'optimiser Talgorithme enonce ci-dessous 

dans les cas ou le temps de calcul de la racine carree n'est pas negligeable. 

Pour P e G, les 2 solutions de (i) sont X [1/2 ]p et X^/ 2 ]p + 1 , et on deduit de 
(ii) que les 1eres coordonnees des points associes sont u et (u + On peut 
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done en deduire un algorithme permettant de calculer [1/2]P de la fa<?on 
suivante : 

Si F,„ est un corps fini de 2 n elements, E (F, B ) est le sous-groupe d'une 

courbe elliptique E, defini par : 

E(F 2 . ) = {(x f y)e F 2 . X F 2 „ |y 2 + xy = x 3 + ax 2 + p> U {O} a,p G F 2 „J^O, 

et E[2 k ] est I'ensemble des points P de ladite courbe elliptique tels que P f 
additionne 2 k fois a lui meme donne I'element neutre O avec k entier superieur 
ou egal a 1, aiors, un point P = (x,y) de ladite courbe elliptique donne par ladite 

_2_ 

10 effectuant les operations suivantes illustrees par rorganigramme de la figure 3 : 

• on cherche une premiere valeur X 0 telle que X 2 + X Q = a + x 

• on calcule une seconde valeur u 0 2 telle que u 0 2 = x (>, 0 + 1 ) + y 

• si k vaut 1, on cherche si Tequation : A 2 +A -a 2 + u c 2 a des solutions dans 
F,.. 

1 5 • dans I'affirmative on calcule ladite division par deux par : 



division par deux le point 



P= (u OJ v 0 ) de ladite courbe elliptique, obtenu en 



u 0 = V u o 2 

V 0 = U 0 (Uo + Xo) 



et 



P = (U 0 , V 0 ) 



• dans la negative, on ajoute x a ladite deuxieme valeur u D 2 et on ajoute 1 a 
20 ladite premiere valeur X Q pour calculer ladite division par deux comme dans 

Toperation precedente ; 

• si k est plus grand que 1 , on effectue un calcul iteratif consistant a : 
chercher une valeur X \ , telle que X \ 2 + X\ = a + Um 

puis calculer la valeur u 2 telle que u 2 = um (X,j + ^.1 + Uj.i +1 ) 
25 en incrementant i a partir de i=1 jusqu'a obtenir la valeur u k -i 2 

• on cherche si I'equation X 2 + X = a 2 + u 2 ^ a des solutions dans F 2 „ 
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• dans Taffirmative on calcule ladite division par deux par : 

Uo= V u o 2 



V 0 = U 0 (U 0 + 



et 



P = (U 0f V 0 ) 



• dans la negative, on ajoute x a ladite deuxieme valeur u c 2 et on ajoute 1 a 
ladite premiere valeur X 0 pour calculer ladite division par deux comme dans 
I'operation precedente. 



Si on choisit de representer le point 



P = (u 0f v D ) de la courbe elliptique 



par (u 0t ,X 0 ) avec Xq = u 0 + v c /u 0 , alors ralgorithme est conforme a 
10 Torganigramme de la figure 4 ou : 

• on cherche une premiere valeur X 0 telle que X 2 + A, D = a + x 

• on calcule une seconde valeur u 0 2 telle que : u D 2 = x (A. G + 1 )+ y t 

• si k vaut 1, on cherche si I'equation : A, 2 o + ?L 0 =a 2 +u 2 0 a des solutions dans 
F,.. 

15 • dans ('affirmative on calcule ladite division par deux par : 



et 



P = (Uo, Xo) 



• dans la negative, on ajoute x a ladite deuxieme valeur u c 2 et on ajoute 1 a 
ladite premiere valeur A, Q pour calculer ladite division par deux comme dans 

20 Toperation prec6dente ; 

• si k est plus grand que 1 , on effectue un calcul iteratif consistant a : 
chercher une valeur X \ , telle que X \ 2 + X\ = a + u M 

puis calculer la valeur u 2 telle que u 2 = um (X\ + X\. A + um +1 ) 
en incremental i a partir de i = 1 jusqu'a obtenir la valeur u 2 k -i 
25 • on cherche si I'equation X 2 + X = a 2 + uVi a des solutions dans E, B 
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dans raffirmative on calcule ladite division par deux par : 

Uo= V U 0 2 



et 



P = (u 0 , X 0 ) 



• dans la negative, on ajoute x a ladite deuxieme valeur u 0 2 et on ajoute 1 a 
ladite premiere valeur A, Q pour calculer ladite division par deux comme dans 
I'operation precedente. 

Si on choisit de representer le point P = (x,y) par ( x, A p ) en posant A p = 



x+y/x qui donne par ladite division par deux le point 



P = (u 0 ,v 0 ) de ladite 



courbe elliptique alors ralgorithme est conforme a rorganigramme de la figure 5 
10 ou : 

• on cherche une premiere valeur X 0 telle que X 2 + 7^> = a + x 

• on calcule une seconde valeur u 0 2 telle que u Q 2 = x (k 0 + A. p + x + 1 ) 

• si k vaut 1, on cherche si Tequation : X 2 +A =a 2 +u c 2 a des solutions dans 

F 

15 • dans raffirmative on calcule ladite division par deux par : 



Vo = U 0 (U 0 + Xo) 

P = (Uo, Vo) 



et : 



• dans la negative, on ajoute x a ladite deuxieme valeur u G 2 et on ajoute 1 a 
20 ladite premiere valeur X 0 pour calculer ladite division par deux comme dans 

Toperation precedente; 

• si k est plus grand que 1 , on effectue un calcul iteratif consistant a : 
chercher une valeur^; , telle que X \ 2 + X\ = a + um 

puis calculer la valeur u 2 telle que u 2 = u^ (Xj + + u M +1 ) 
25 en incremental i a partir de i=1 jusqu'a obtenir la valeur u 2 k _i 

• on cherche si ('equation X 2 + X = a 2 + u 2 M a des solutions dans F 7 „ 
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♦ dans raffirmative on calcule ladite division par deux par : 
u Q = y[u { 



2 

0 



V 0 = U 0 (U 0 + Xo) 



et 



P = (U 0 . V 0 ) 



dans la negative, on ajoute x a ladite deuxieme valeur u 0 2 et on ajoute 1 a 
ladite premiere valeur X Q pour calculer ladite division par deux comme dans 
Toperation precedente. 

Enfin, si on choisit de representer le point P= (x,y) par (x, X p ) avec 



Xp = x + y/x qui donne par ladite division par deux le point 



P = (u 0 , v 0 ) de la 



courbe elliptique represents par (u 0 , X Q ) avec X 0 = u G + v 0 /u 0 alors Talgorithme est 
conforme a Torganigramme de la figure 6 ou : 

• on cherche une premiere valeur X 0 telle que X 0 2 + Xo = a + x 

• on calcule une seconde valeur u Q 2 telle que u G 2 = x (X Q +A, P + x + 1 ) f 

• si k vaut 1, on cherche si I'equation : X 2 +X =a 2 +u 0 2 a des solutions dans 
F 2 „. 

• dans raffirmative on calcule ladite division par deux par : 

u 0 = V u o 2 



et 



P = (u 0 , Xo) 



• dans la negative, on ajoute x a ladite deuxieme valeur u 0 2 et on ajoute 1 a 
ladite premiere valeur Xo pour calculer ladite division par deux comme dans 
Toperation precedente ; 

• si k est plus grand que 1 , on effectue un calcul iteratif consistant a : 

chercher une valeur X j , telle que X \ 2 + X\ = a + u M 
puis calculer la valeur u 2 telle que u i 2 = u M (X\ + X\^ + um +1 ) 
en incremental i a partir de i=1 jusqu'a obtenir la valeur u 2 k-i 

• on cherche si I'equation X 2 + X = a 2 + u 2 ^ a des solutions dans F n 
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• dans raffirmative on calcule ladite division par deux par : 



Uo= V U 0 2 



et 



P = (u 0l X 0 ) 



• dans la negative, on ajoute x a ladite deuxieme valeur u Q 2 et on ajoute 1 a 
5 ladite premiere valeur X 0 pour calculer ladite division par deux comme dans 
I'operation precedente. 

On va maintenant decrire comment effectuer rapidement ie test, la 
resolution de Tequation du second degre, et le calcul de la racine carree dans 
I'algorithme de division d'un point par 2. On considerera les deux cas en base 
10 normale et polynomiale. 

Les resultats en base normale sont connus. On peut considerer F 2n 

comme espace vectoriel a n dimensions sur F 2 . Dans une base normale, un 
element du corps est represents par : 

x=][>iP 2i x s e{0,l} 

i=0 

15 ou peF on est choisi tel que : {p,p\...,p 2n ~' } est une base F 2 „ . Dans une base 
normale, la racine carree se calcule par un decalage circulaire gauche, et 
I'elevation au carre par un decalage circulaire droit. Les temps de calcul 
correspondants sont done negligeables. 

Si Tequation du second degre : X 2 + X = x a ses solutions dans F 2 „ , une 

20 solution est alors donnee par : 

X=Y j X i $ 2t avec:Ai=^ x f 1<i<n-1 

i=l k=l 

Le temps de calcul de k est negligeable devant le temps de calcul d'une 
multiplication ou d'une inversion dans le corps. Comme le temps de calcul d'une 
solution de Tequation du second degre est negligeable, on peut effectuer le test 
25 de la maniere suivante : calculer un candidal ka partir de x et tester s\ k 2 + k = 
x. Si ce n'est pas le cas, Tequation n'a pas de solution dans F 7 „ . 
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En base polynomiale, on utilise la representation : 

■1 —i 

x = ^XjT avec Xj e{0,1}. La racine carree de x peut etre calculee en stockant 



I'element Vt si Ton remarque que : 

- dans un corps de caracteristique 2, la racine carree est un morphisme 
du corps, 



fy x p = y xT ~i 

\ pair 1 pair 1 



Regroupant dans x les puissances paires et impaires de T et prenant la 
racine carree, il vient : 

i pair i impair 

10 ainsi, pour calculer une racine carree, il suffit de "reduire" deux vecteurs de 
moitie, et d'executer ensuite une multiplication d'une valeur precalculee par un 
element de longueur n/2. C'est pourquoi le temps de calcul d'une racine carree 
dans une base polynomiale est equivalent a la moitie du temps de calcul d f une 
multiplication dans le corps. 

15 Pour le test et la resolution de Tequation du second degre, considerons 

F 2 „ comme un espace vectoriel a n dimensions sur F 2 . L'application F definie 
par : 

F : F 2 „ -> F 2 „ 

x x 2 + x 

20 est alors un operateur lineaire de noyau {0, 1} 

Pour un x donne, I'equation: X 2 + X = x a ses solutions dans F,„ si et 

seulement si le vecteur x est dans Timage de F. Im(F) est un sous-espace de F 2tt 

a n -1 dimensions. Pour une base donnee de F 2 „ , et le produit scalaire 

correspondant, il existe un seul vecteur non trivial orthogonal a tous les vecteurs 
25 de Im(F). Soit w ce vecteur. On a : 

3X € F, n : X 2 + X = x o x • w = 0 
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Ainsi I'execution du test peut se faire en additionnant les composantes de 
x auxquelles correspondent des composantes de w egales a 1. Le temps 
d'execution de ce test est negligeable. 

Pour la resolution de Tequation du 2 nd .degre : F(x,) = X 2 + X = x dans une 
5 base polynomiale, on propose une methode simple et directe imposant le 
stockage d'une matrice n x n. Pour cela, on cherche un operateur lineaire G tel 
que : 

Vxelm(F) :F(G(x))=(G(x)) 2 + G(x) = x 

Soit 7 € F r un vecteur tel que Y £lm(F) e t definissons G par: 

G= F" 1 avec f(t) = f y si : i = 0 
10 | F(T") si: l<i<n-l 

Etant donne x = Y!^ x i F ( T ^ s Im < F ) a'ors G(x) est solution de Tequation 

du 2 nd degre. Une implementation consiste a precalculer la matrice representant 

G dans la base {1,T, , T n ~ 1 }. En caracteristique 2, la multiplication d'une 

matrice par un vecteur se reduit a I'addition des colonnes de la matrice 
15 auxquelles correspondent un composante du vecteur egale a 1. II s'ensuit que 
cette methode de resolution d'une equation du 2 nd degre consomme en moyenne 
n/2 additions dans le corps F 2n . 

On decrit ci-dessous I'application des principes exposes a la multiplication 
scalaire. 

20 Soient P ^ E (F 2n ) un point d'ordre r impair, c un entier aleatoire et m la 

partie entiere de log2 (r). Calculons le produit [c]P d'un point par un scalaire en 
utilisant I'application de division d f un point par 2. 
On demontre que : 

Pour tout entier c; il existe un nombre rationnel de la forme : 
25 S-f c /e {0,l} 

/=0 £ 

tel que : 

c = S^f ( modr ) 

i=0 ^ 
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Soit <P> le groupe cyclique genere par P. Comme on a Tisomorphisme 
d'anneaux: 

P * Z/rZ 
[k]P k 

On peut calculer la multiplication scalaire par: 



en utilisant des divisions par 2 et des additions. L'algorithme bien connu de 

doublement-addition peut etre utilise pour ces calculs. II suffit pour cela de 

remplacer dans ralgorithme les doublements par des divisions par 2. II faut 
10 executer kxj2 (r) divisions par 2 et, en moyenne, 1/2 log2 (r) additions. II existe 

des ameliorations a l'algorithme de doublement-addition qui ne demandent que 

1/3 kxj2 (r) additions en moyenne. 

Par consequent une multiplication scalaire precitee utilisant une division 

par deux telle que definie ci-dessus est obtenue par les operations suivantes : 
15 - si ledit scalaire de la multiplication est note S, on choisit m+1 valeurs 

So... Sm g {0,1} pour definir S par : 



- r etant Pordre impair precite et m etant rentier unique compris entre 
log 2 (r) -1 et log 2 (r), 

20 - on calcule la multiplication scalaire [S]P d'un point P de ladite courbe 

elliptique par le scalaire S par application d'un algorithme consistant a 
determiner la suite de points (Q m +i, Q m ..-. Qi»., Qo) ladite courbe elliptique E 
telle que : 

Qm+i = O (element neutre) 
25 Qi = [SJP + j^i j Q j + ! avec o < i < m 



- le calcul du dernier point Q G de ladite suite donnant le resultat [S] P de 
ladite multiplication scalaire. 



Pour additionner le point P initial a un resultat intermediaire Q= 



Qi, on 



utilise Talgorithme suivant, qui est Palgorithme traditionnel, legerement modifie: 



WO 01/04742 




PCT/FR00/01979 



Entree: P = (x,y) en coordonnees affines et Q = (u, u(u + Xq )) represents 
par (u, 7^q) 

Sortie: P + Q = (s, t) en coordonnees affines 

alqorithme: 

^ . , ^ y + u(u + A n ) 

5 1 . Caiculer: X = 2i 

x + u 

2. Caiculer: s = X 2 +X + a + x+u 

3. Caiculer: t = (s + x)X + s + y 

4. Resultat: (s, t) 

Cet algorithme utilise 1 inversion, 3 multiplications, et 1 racine carree. 

10 Le gain de temps obtenu en rempla?ant les operations de multiplication 

par 2 par des divisions par 2 est important. En coordonnees affines, la 
multiplication par 2 et Taddition demandent toutes deux: une inversion, deux 
multiplications, et une racine carree. Si le scalaire de la multiplication par un 
scalaire est represente par un vecteur de bits de longueur m et de k 

15 composantes non nulles, les operations pour la multiplication scalaire 
demandent : 



operation 


doublement et addition 


Division par 2 et addition 


inversions 


m + k 


k 


multiplications 


2m + 2k 


m + 3k 


carres 


m + k 


k 


resolution A^+A^a+x 


0 


m 


racines carrees 


0 


m 


tests 


0 


m 



Ainsi, en utilisant la division par 2, on economise m inversions, m-k 
20 multiplications, et m carres, au prix de m resolutions du 2 nd .degre, m racines 
carrees et m tests. 

En base polynomiale, on peut obtenir une amelioration en temps 
d'execution voisine de 50%. 



WO 01/04742 PCT/FR00/01979 

17 

En base normale, on estime le temps de calcul de la racine carree, du test 
et de la resolution d'equation du 2 nd . degre negligeable devant le temps de calcul 
d'une multiplication ou d'une inversion. En supposant en outre que le temps de 
calcul d'une inversion est equivalent au temps de calcul de 3 multiplications, on 
5 arrive a une amelioration du temps d'execution de 55%. 

La figure 2 illustre schematiquement une application possible des 
algorithmes decrits ci-dessus, mis en oeuvre entre deux entites A et B 
echangeant des informations a travers un canal de communication non securise. 
Ledit canal de communication peut se resumer ici a de simples liaisons 

10 electriques etablies entre les deux entites le temps d'une transaction. II peut 
aussi comporter un reseau de telecommunication, hertzien et/ou optique. En 
I'occurrence, ici I'entite A est une carte a microcircuit et I'entite B est un serveur. 
Une fois mis en relation Tune avec Pautre par ledit canal de communication, les 
deux entites vont appliquer un protocole de construction d'une clef commune. 

15 Pour ce faire : 

- I'entite A possede une clef secrete a 

- I'entite B possede une clef secrete b 

Elles doivent elaborer une clef secrete x connue d'elles seules, a partir 
d'une clef publique constitute par un point P d'ordre impair r d'une courbe 
20 elliptique E choisie et non supersinguliere. 

Le protocole mis en oeuvre est du type de Diffie-Hellman en remplagant 
les "multiplications par deux " habituelles dites doublements de point par 
I'operation dite de "division par deux", selon I'invention decrite ci-dessus. 
Pour ce faire, I'algorithme est le suivant : 
25 - la premiere entite (par exemple A) calcule la multiplication scalaire [a]P 

et envoie le point resultat a la seconde entite, 

- la seconde entite (B) calcule la multiplication scalaire [b]P et envoie le 
point resultat a la premiere entite, 

- les deux entites calculent respectivement un point commun (C) = (x,y) de 
30 ladite courbe elliptique (E) en effectuant respectivement les multiplications 

scalaires [a] ([b]P) et [b] ([a]P), toutes deux egales a [a.b]P, 

- les deux entites choisissent comme clef commune la coordonnee x dudit 
point commun (C) obtenu par ladite multiplication scalaire [a.b]P, au moins Tune 
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des multiplications scalaires precedentes, et de preference toutes, etant 
effectuee a I'aide de divisions par deux predefinies. 

Atitre d'exemple plus precis, la figure 7 represente un serveur B relie a un 
reseau de communication 1 par I'intermediaire d'une interface de communication 
5 2, par exemple du type modem. De maniere analogue, une station de calcul 3 
est reliee au reseau 1 par une interface de communication 4. La station 3 est 
equipee d'un lecteur de carte a microcircuit 5, dans lequel est inseree la carte a 
microcircuit A. 

La memoire vive 6 du serveur B contient un programme 7 capable 
10 d'executer des calculs cryptographiques sur courbes elliptiques, et en particulier 
le produit d'un point par un scalaire et la division d'un point par 2. 

La carte A comporte une unite centrale 11, une memoire vive dite "RAM" 
8, une memoire morte dite "ROM" 9 et une memoire reinscriptible dite 
"EEPROM" 10. L'une des memoires 9 ou 10 contient un programme 12 capable 
15 d'executer des calculs cryptographiques sur courbes elliptiques, et en particulier 
le produit d'un point par un scalaire et la division d'un point par 2. 

Les deux programmes 7 et 12 ont une reference commune constitute 
d'une meme courbe elliptique (E) et d'un meme point P=(x 0 , yo) de (E). 

Lorsque A desire construire en parallele avec B une cle secrete commune 
20 pour securiser un dialogue avec B, il choisit un scalaire a et envoie a B le produit 
Q=[a]P=(xi, yi). En reponse a cet envoi, B choisit un scalaire b et retourne a A le 
produit R=[b]P = (x 2 . y 2 ). 

A calcule alors le produit [a] R = [ab]P = (x, y), tandis que B calcule le 
produit [b] Q = [ab]P = (x, y), et A et B adoptent x comme cle secrete commune. 
25 Ces operations peuvent etre representees par le tableau ci-dessous. 

Celles qui sont effectuees dans le serveur B sont indiquees dans la colonne de 
droite tandis que celles qui sont effectuees dans la carte A sont indiquees dans 
la colonne de gauche, les fleches horizontales symbolisant les transferts 
d'informations via le reseau 1 . 
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P = (xo, yo) 



P = (x 0) yo) 



choix a 



Q 



[a]P = (xi, 



choix b 



[a]R = (x, y) 



R = [b] P = (x 2) y 2 ) 
[b] Q = (x,y) 



cle = x 



cle = x 



Une autre application possible mettant en jeu Pinvention est susceptible 
d'etre mise en oeuvre entre les deux entites A et B de la figure 7. II s'agit d'un 
protocole de signature d'un message M transmis entre A et B via le canal non 
securise, c'est-a-dire le reseau 1. Le but de ce protocole, connu dans ses 
grandes lignes, est d'apporter la certitude que le message regu par Pune des 
entites a bien ete emis par celle avec laquelle elle correspond. 

Pour ce faire, Pentite emettrice (par exemple A) possede deux clefs 
permanentes, Pune secrete a et Pautre publique Q = [a] P, P etant un point d'une 
courbe elliptique (E), P et (E) etant connus et convenus par A et B. Une autre 
clef publique est constitute par le point P d'ordre impair r de la courbe elliptique 
E choisie, non supersinguliere. Les operations mises en jeu impliquent des 
divisions par deux, au sens defini ci-dessus. 

Selon un exemple possible : 

- la premiere entite (A) possedant ladite paire de clefs permanentes 
construit une paire de clefs a utilisation unique, Pune (g) etant choisie 
arbitrairement et Pautre, [g] P resultant d'une multiplication scalaire de ladite clef 
(g) choisie arbitrairement par le point P public de ladite courbe elliptique, les 
coordonnees de cette clef ([g]P) etant notees (x,y) avec 2 < g < r-2, 

- la premiere entite (A) convertit le polynome x de ladite clef a utilisation 
unique [g]P = (x,y) en un entier i dont la valeur binaire est representee par la 
sequence des coefficients binaires dudit polynome x, 

- ladite premiere entite (A) calcule une signature (c,d) du message (M) de 
la fapon suivante : 
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c = i modulo r 

d = g" 1 (M + ac) modulo r, 

- ladite premiere entite envoie ledit message (M) et ladite signature (c, d) 
a la seconde entite ; a reception 

5 - ladite seconde entite (B) verifie si les elements de ladite signature (c,d) 

appartiennent chacun a I'intervalle [1, r-1], 

- dans la negative, declare la signature non vatide et stoppe 

- dans Paffirmative, ladite seconde entite (B) calcule trois parametres : 
h = d" 1 modulo r 
10 hi = Mh modulo r 

h 2 = ch modulo r 

- ladite seconde entite calcule un point T de ladite courbe elliptique par la 
somme des multiplications scalaires des points P et Q par les deux derniers 
parametres cites : 

15 T = [hi] P + [h 2 ] Q 

si le point resultant T est Pelement neutre, ladite seconde entite declare la 
signature non valide et stoppe. 

sinon, considerant le point T de coordonnees x 1 et y' : T = (x'.y 1 ), 

- ladite seconde entite (B) convertit le polynome x' de ce point en un entier 
20 i' dont la valeur binaire est representee par la sequence des coefficients binaires 

dudit polynome x\ 

- ladite seconde entite (B) calcule c' = i' modulo r et, 

- verifie que c* = c pour valider ladite signature ou I'invalider dans le cas 
contraire, au moins une operation de multiplication scalaire precitee et, de 

25 preference toutes, etant effectuee a I'aide de divisions par deux predefinies. 

Ces operations peuvent etre representees par le tableau ci-dessous ou 
les operations effectuees dans le serveur B sont indiquees dans la colonne de 
droite tandis que les operations effectuees dans la carte A sont indiquees dans 
la colonne de gauche, la fleche entre les deux colonnes symbolisant les 

30 transferts d ! informations via le reseau 1 . 
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choix g 2< g < r-2 
[g] P = x, y 

message M 

c= i mod r 

d= g" 1 (M+ac) mod r 

M,(c,d) 



1< c < M ? non 
Toui * 
T erreur — ► 



OUI 



erreur 



1< d < r-1 ? non 

~ i 

h = d" 1 mod r 
hi= Mh mod r 
h 2 = ch mod r 

T = [hi] P + [h 2 ] Q = (x', y') 
I 



T = O ? mii 
I non 

X'- Xx^-M'^X^ 

c'= i' mod r 

c'=c ? non 



OUI 



BON 



MAUVAIS 
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REVENDICATIONS 

1. Procede de cryptographie mis en oeuvre entre deux entites echangeant 
des informations a travers un canal de communication non securise, du type 
comprenant au moins une phase operatoire consistant a multiplier un point 
d'ordre impair d'une courbe elliptique non supersinguliere par un entier, 
caracterise en ce que, dans le but de realiser I'echange d'informations a travers 
le canal de communication non securise, une telle phase operatoire comprend 
des additions et des divisions par deux de points de ladite courbe elliptique ou 
I'addition de points est une operation connue, et la division par deux d'un point P 
est definie comme le point unique D d'ordre impair tel que [2]D = P, un tel point 



10 eta nt note 



P, et I'operation de division par 2 : 



2. Procede selon la revendication 1, ou F 0 „ est un corps fini de 2 n 

elements, E(F 2n ) est le sous-groupe d'une courbe elliptique E, defini par : 

E(F 2 n ) = {(x,y)e F 2 n X F 2 n ly 2 + xy = x 3 + ax 2 + p} ^ {O} a, p e F 2 n , p * 0 
et E[2 k ] est Tensemble des points P de ladite courbe elliptique tels que P, 
15 additionne 2 k fois a lui-meme donne I'element neutre O, avec k entier superieur 
ou egal a 1, caracterise en ce qu'un point P =(x,y) de ladite courbe elliptique 



donne par ladite division par deux le point = ( u o»v 0 ) de ladite courbe 

elliptique, obtenu en effectuant les operations suivantes : 

• on cherche une premiere valeur A 0 telle que X Q 2 + X 0 = a + x 
20 • on calcule une seconde valeur u 0 2 telle que u 0 2 = x (X Q + 1 ) + y 

• si k vaut 1, on cherche si I'equation : X 2 +k =a 2 +u 2 G a des solutions dans 

F 2 ", 

• dans I'affirmative on calcule ladite division par deux par : 



2 

0 



U 0 = 

25 v 0 = u 0 (u 0 + X 0 ) 



P = (U 0t V 0 ) 
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• dans la negative, on ajoute x a ladite deuxieme valeur u c 2 et on ajoute 1 a 
ladite premiere valeur X a pour calculer ladite division par deux comme dans 
Toperation precedente; 

• si k est plus grand que 1 , on effectue un calcul iteratif consistant a : 
chercher une valeur X \ , telle que X \ 2 + X\ — cx + Uj_i 

puis calculer la valeur u 2 telle que u 2 j = un (X\ + h-A + u^ +1 ) 
en incremental i a partir de i = 1 jusqu'a obtenir la valeur u 2 k-i 

• on cherche si Pequation X 2 + X = a 2 + u 2 k .i a des solutions dans F 2 fl 

• dans I'affirmative on calcule ladite division par deux par : 

U 0 = V^- 



2 

0 



V 0 = U 0 (U 0 + X 0 ) 



et 



P = (U 0 , V 0 ) 



• dans la negative, on ajoute x a ladite deuxieme valeur u c 2 et on ajoute 1 a 
ladite premiere valeur k 0 pour calculer ladite division par deux comme dans 
Toperation precedente. 

3. Procede selon la revendication 1 ou : F 2 " est un corps fini de 2 n 
elements, E(F 2 n )est le sous-groupe d'une courbe elliptique E, defini par : 

E(F 2 n ) = {(x,y)e F 2 n X F 2 n ly 2 + xy = x 3 + ax 2 + p} u {O} a, p e F 2 °, p ^ 0 
et E[2 k ] est Tensemble des points P de ladite courbe elliptique tels que P, 
additionne 2 k fois a lui meme donne Telement neutre O, avec k entier superieur 
ou egal a 1 , caracterise en ce qu'un point P = (x,y) de ladite courbe elliptique 



donne par ladite division par deux le point 



P = (u 0 , K) 



avec k 0 = u 0 + Vo/u 0 obtenu en effectuant les operations suivantes : 

• on cherche une premiere valeur A. 0 telle que X, 0 2 + X Q = a + x 

• on calcule une seconde valeur u Q 2 telle que : u 0 2 = x (X 0 + 1) + y 

• si k vaut 1, on cherche si Tequation : X 2 +X =a 2 +u G 2 a des solutions dans 
F 2 \ 

• dans Taffirmative on calcule ladite division par deux par : 
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et 



P = (Uo, K) 



• dans la negative, on ajoute x a ladite deuxieme valeur u Q 2 et on ajoute 1 a 
ladite premiere valeur X Q pour calculer ladite division par deux comme dans 
I'operation precedente ; 

• si k est plus grand que 1 , on effectue un calcul iteratif consistant a : 
chercher une valeur /lj , telle que A j 2 + X\ = a + u M 

puis calculer la valeur u 2 telle que u 2 = um (h + X^ + u M +1 ) 
en incremental i a partir de i = 1 jusqu'a obtenir la valeur u 2 

• on cherche si I'equation X 2 + X = a 2 + u 2 k _i a des solutions dans F 2n 

• dans I'affirmative on calcule ladite division par deux par : 



Uo= V u o 2 et 



P = (Uo, X 0 ) 



• dans la negative, on ajoute x a ladite deuxieme valeur u Q 2 et on ajoute 1 a 
ladite premiere valeur X Q pour calculer ladite division par deux comme dans 
I'operation precedente. 

4. Procede selon la revendication 1 ou : 
F 2 n est un corps fini de 2 n elements, E(F 2 n ) est le sous-groupe d'une courbe 
elliptique E, defini par : 

E(F2 n ) = {(x,y)e F 2 n X F 2 n ly 2 + xy = x 3 + ax 2 + p} u {O} a, |3 e F 2 n , p * 0 
et E[2 k ] est Tensemble des points P de ladite courbe elliptique tels que P, 
additionne 2 k fois a lui meme donne Telement neutre O avec k entier superieur 
ou egal a 1, caracterise en ce qu'un point P = (x,y) de ladite courbe elliptique 
represents par (x,X p ) avec X p = x + y/x donne par ladite division par deux le point 



P = (u 0 , v 0 ) de ladite courbe elliptique obtenu en effectuant les operations 
suivantes : 



on cherche une premiere valeur Xo telle que X Q 2 + X Q = a + x 



on calcule une seconde valeur u 0 2 telle que : u G 2 = x (X Q + ^ p + x +1), 



si k vaut 1, on cherche si I'equation : A 2 +Z =or 2 +u 0 2 a des solutions dans 

F 2 <\ 

dans Paffirmative on calcule ladite division par deux par : 



WO 01/04742 



• 



PCT/FROO/01979 



Uo= V U 0 

V 0 = U 0 (U 0 + Xo) 




• dans la negative, on ajoute x a ladite deuxieme valeur u c 2 et on ajoute 1 a 
ladite premiere valeur X 0 pour calculer ladite division par deux comme dans 
I'operation precedente ; 

• si k est plus grand que 1 , on effectue un calcul iteratif consistant a : 
chercher une valeur ;i j , telle que>lj 2 + ^ = a + Um 

puis calculer la valeur u s 2 telle que u* 2 = Uj_i (X\ + X.n + Uj.i +1 ) 
en incremental i a partir de i =1 jusqu'a obtenir la valeur u 2 k -i 

• on cherche si I'equation A. 2 + A, = a 2 + uVi a des solutions dans F 2 ° dans 
('affirmative on calcule ladite division par deux par : 



• dans la negative, on ajoute x a ladite deuxieme valeur u D 2 et on ajoute 1 a 
ladite premiere valeur X 0 pour calculer ladite division par deux comme dans 
I'operation precedente. 

5. ProcSde selon la revendication 1 ou : F 2 n est un corps fini de 2 n 
elements, E(F 2 n ) est le sous-groupe d'une courbe elliptique E, defini par : 

E(F 2 n ) = {(x,y)e F 2 n X F 2 n ly 2 + xy = x 3 + ax 2 + P} u {O} a, p e F 2 \ p ^ 0 
et E[2 k ] est Tensemble des points P de ladite courbe elliptique tels que P, 
additionne 2 k fois a lui meme donne Telement neutre O, avec k entier superieur 
ou egal a 1, caracterise en ce qu'un point P = (x,y) de ladite courbe elliptique 
represents par (x,X p ) avec X 9 = x + y/x donne par ladite division par deux le point 



(u 0 , Xo)f avec Xq = u Q + Vo/u 0 , obtenu en effectuant les operations suivantes : 




v 0 = u 0 (u 0 + Xo) 





P = (u 0 , v 0 ) de ladite courbe elliptique represents par 
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• on cherche une premiere valeur X Q telle que X 2 + Xo = a + x 

• on calcule une seconde valeur u G 2 telle que : u Q 2 = x (X 0 + X p + x +1 ), 

• si k vaut 1, on cherche si Tequation : X 2 +X =a 2 +u Q 2 a des solutions dans 
F 2 ". 

• dans Taffirmative on calcule ladite division par deux par : 



u c = yu 



2 

0 



et 



P = (Uo, Xo) 



• dans la negative, on ajoute x a ladite deuxieme valeur u c 2 et on ajoute 1 a 
ladite premiere valeur A. 0 pour calculer ladite division par deux comme dans 

10 I'operation precedente; 

• si k est plus grand que 1 , on effectue un calcul iteratif consistant a : 
chercher une valeur A j , telle que X \ 2 + h = a + Um 

puis calculer la valeur u 2 telle que u 2 = u M (X\ + A.m + Uj_i +1 ) 
en incrementant i a partir de i = ljusqu'a obtenir la valeur u 2 k -i 
15 • on cherche si Tequation X 2 + X = a 2 + u 2 k -i a des solutions dans F 2 n 

• dans raffirmative on calcule ladite division par deux par : 



Uo= 



2 

0 



et 



P = (Uo. ^o) 



• dans la negative, on ajoute x a ladite deuxieme valeur u G 2 et on ajoute 1 a 
20 ladite premiere valeur X Q pour calculer ladite division par deux comme dans 
Poperation precedente. 

6. Precede selon Tune des revendications precedentes, caracterise en ce 
qu'il s'agit d'un protocole de construction d'une clef commune a partir de deux 
clefs secretes appartenant respectivement aux deux entites precitees et d'une 

25 clef publique constitute par un point P d'ordre impair r d'une courbe elliptique E 
choisie et non supersinguliere. 

7. Procede selon la revendication 6, caracterise en ce que, de fagon 
connue en soi, a et b etant les clefs secretes d'une premiere et d'une seconde 
entites, respectivement 
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- la premiere entite calcule la multiplication scalaire [a]P et envoie le point 
resultat a la seconde entite, 

- la seconde entite calcule la multiplication scalaire [b]P et envoie le point 
resultat a la premiere entite, 

5 - les deux entites calculent respectivement un point commun C = (x,y) de 

ladite courbe elliptique (E) en effectuant respectivement les multiplications 
scalaires [a] ([b]P) et [b] ([a]P), toutes deux egales a [a.b]P, 

- les deux entites choisissent comme clef commune la coordonnee (x) 
dudit point commun (C) obtenu par ladite multiplication scalaire [a.b]P, au moins 

10 Tune des multiplications scalaires precedentes, et de preference toutes, etant 
effectuee a I'aide de divisions par deux predefinies. 

8. Procede selon Tune des revendications 1 a 5, caracterise en ce qu'il 
s*agit d'un protocole de signature entre deux entites a partir d'une paire de clefs 
permanentes appartenant a Tune des entites, Tune secrete (a) et I'autre publique 

15 (Q), resultant de la multiplication scalaire de la clef secrete (a) par une autre clef 
publique constitute par un point (P) d'ordre impair r d'une courbe elliptique (E) 
choisie et non supersinguliere. 

9. Procede selon la revendication 8, caracterise par les operations 
suivantes : 

20 - la premiere entite (A) posstdant ladite paire de clefs permanentes 

construit une paire de clefs a utilisation unique, Tune (g) etant choisie 
arbitrairement et I'autre [g]P resultant d'une multiplication scalaire de ladite clef 
(g) choisie arbitrairement par le point P public de ladite courbe elliptique, les 
coordonnees de cette clef ([g]P) etant notees (x,y) avec 2 < g < r-2, 

25 - la premiere entite (A) convertit le polynome x de ladite clef a utilisation 

unique [g]P = (x t y) en un entier i dont la valeur binaire est representee par la 
sequence des coefficients binaires dudit polynome x, 

- ladite premiere entite (A) calcule une signature (c,d) du message (M) de 
la fagon suivante : 

30 c = i modulo r 

d = g" 1 (M + ac) modulo r, 

- ladite premiere entite envoie ledit message (M) et ladite signature (c, d) 
a la seconde entite ; a reception 



WO 01/04742 



« 



PCT/FROO/01979 



28 



- ladite seconde entite (B) verifie si les elements de ladite signature (c,d) 
appartiennent chacun a I'intervalle [1, r-1], 

- dans la negative, declare la signature non valide et stoppe, 

- dans Taffirmative, ladite seconde entite (B) calcule trois parametres : 
h = d' 1 modulo r 
hh = Mh modulo r 
h 2 = ch modulo r 

- ladite seconde entite calcule un point T de ladite courbe elliptique par la 
somme des multiplications scalaires des points P et Q par les deux derniers 
parametres cites : 

T = [hi] P + [h 2 ] Q 

si le point resultant T est Telement neutre, ladite seconde entite declare la 
signature non valide et stoppe, 

sinon, considerant le point T de coordonnees x' et y* : T = (x'Y), 

- ladite seconde entite (B) convertit le polynome x' de ce point en un entier 
i' dont la valeur binaire est representee par la sequence des coefficients binaires 
dudit polynome x\ 

-ladite seconde entite (B) calcule c' = i' modulo ret, 

- verifie que c' = c pour valider ladite signature ou I'invalider dans le cas 
contraire, au moins une operation de multiplication scalaire precitee et, de 
preference toutes, etant effectuee a I'aide de divisions par deux predefinies. 

10. Procede selon la revendication 7 ou 9, caracterise en ce qu'une 
multiplication scalaire precitee utilisant des divisions par deux est obtenue par 
les operations suivantes : 

- si ledit scalaire de la multiplication est note S, on choisit m+1 valeurs 
So... Sm e {0,1} pour definir S par : 



r etant I'ordre impair precite et m etant rentier unique compris entre 
log 2 (r) - 1 et log 2 (r), 

on calcule la multiplication scalaire [S]P d*un point P de ladite courbe 
elliptique par le scalaire S par application d'un algorithme consistant a 
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determiner la suite de points (Q m +i, Qm... Qi.... Q 0 ) de ladite courbe elliptique E 
telle que : 

Qm-M = O (element neutre) 



Qi = [SJP + 



Q j+ 1 avec o < i < m 



_2_ 

le calcul du dernier point Q Q de ladite suite donnant le resultat [S] P de 
ladite multiplication scalaire. 



# 



0) 
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FIG. 2 




# 
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FIG. 3 




calculer x 0 tel que : X 0 2 + X Q = a + x 



calculer u D 2 tel que : u c 2 = x (A, 0 + 1) + y 




ank (uspt 0) 
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FIG. 4 




calculer z Q tel que : X Q 2 + A. 0 = a + x 



calculer u Q 2 tel que : u D 2 = x (k Q + 1 ) + y 
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FIG. 5 




calculer x 0 tel que : X<? + Xo = a + x 



calculer u Q 2 telque:u 0 2 =x(A, 0 +?tp + x + 1) 
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FIG. 6 




calculer x Q tel que : X Q 2 + X Q = a + x 



I 



calculer u D 2 telque:u 0 2 =x(X o +X p + x + 1) 




k>i 



OUI 



u 0 2 =u 0 2 + x 



Pour i de 1 ak-1, calculer : 

• /i|telque:Ai 2 + Xi = a + u M 

• Ui 2 tel queruj 2 = u M (Xj + X M + u M +1 ) 
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